러시아 대외 정보국(SVR)이 배후로 추정되는 해커조직이 미국과 북대서양조약기구(NATO) 회원국을 대상으로 위협 행위를 하는 정황이 포착됐다. 사이버보안 기업 맨디언트가 2014년부터 추적 중인 ‘APT29’다.
APT29는 여러 위협 행위가 공개됐음에도 위협 활동을 멈추지 않고 있다. 최근 관찰된 활동으로는 NATO 회원국의 외교 정책에 영향을 끼칠 수 있는 조직에 초점을 맞추고 있다. 러시아 정부가 내준 중요 정보 탈취를 위해 지속적으로 공격적인 성향을 보이고 있다는 것이 맨디언트의 분석이다.
공격 대상은 마이크로소프트(MS) 365다. MS 365는 개인 사용자부터 조직까지 적합한 플랜을 선택할 수 있도록 여러 구독 조건을 제공 중인데, 이중 일부 플랜을 구독할 경우 이용할 수 있는 ‘퍼뷰 감사(Purview Audit)’ 기능은 각종 사이버위협을 막는 주요 역할을 한다.
퍼뷰 감사의 주요 역할은 MS 365 이용 관련 감사 활동에 대한 가시성을 제공하는 것이다. 감사 로그를 통해 포렌식 및 규정 준수 조사를 수행할 수 있다. 이 기능을 활성화하면 이용자가 이메일이 접근할 때마다 사용자 에이전트 문자열, 타임스탬프, IP주소 및 사용자 로그가 기록된다.
이에 APT29는 공격에 방해가 되는 퍼뷰 감사 기능을 비활성화한 뒤 침해 활동을 펼쳤다. 퍼뷰 감사 기능이 비활성화된 시점부터 로그가 남지 않기 때문에 어떤 타깃을 대상으로 삼는지 확인하기 어렵다.
또 APT29는 악의적인 작업과 무해한 관리 작업을 섞기도 한다. 최근 조사에 따르면 APT29는 애저 액티브 디렉토리의 전역 관리자 계정에 대한 접근 권한을 얻었다. APT29는 이 계정을 사용해 애플리케이션(앱) 가장 권한이 있는 서비스에 백도어를 심고 테넌트의 대상 사서함에서 이메일을 수집하기 시작했다.
맨디언트는 “APT29는 계속해서 기술과 운영 보안을 발전시키고 있다. 맨디언트는 AP29가 새롭고 은말한 방식으로 MS 365에 접근하기 위한 기술과 전술을 개선하는 것에 발맞춰 나아갈 것”이라고 전했다.